谨防CMMC合规的“银弹”陷阱：如何识别软件供应商的空洞承诺

没有应对CMMC的“银弹”：如何识别软件供应商的空洞承诺

对于国防工业基础（DIB）领域的安全负责人来说，压力正在与日俱增。为了继续承接美国国防部（DoD）的合同，达到CMMC 2级合规已非“锦上添花”，而是一项关乎生存的强制性要求。

尽管在满足CMMC要求方面，供应商发布了大量有用信息，但也存在许多杂音——其中一些具有误导性。

在本文中，我们将深入探讨，当任何软件供应商发布其能在CMMC合规方面帮助您满足多少控制项时，您需要考虑什么，以及如何谨慎行事。

没有一家供应商能解决所有问题

要获得CMMC 2级认证，您必须在所需的110项控制项上获得110分的满分。为了帮助寻求认证的组织（OSC）了解特定供应商的定位，许多供应商发布了共享责任矩阵（SRM）或客户责任矩阵（CRM）。

但是，当一家软件供应商声称能解决110项CMMC 2级控制项中的100多项时，是时候仔细阅读细则了。

面对保护受控非密信息（CUI）的大量安全控制要求和额外成本，寻找能“一键解决”尽可能多CMMC控制项的“简易按钮”是很自然的。但俗话说得好：如果听起来好得令人难以置信，那它很可能就是假的。

在评估数据保护软件时，您必须警惕玩弄数字游戏的供应商。存在一种令人担忧的趋势，即供应商夸大其共享责任矩阵，声称他们几乎满足了所有110项CMMC 2级控制项。以下是这种营销策略为何危险，以及为何可能导致更多成本、挫折，甚至评估失败的原因。

CMMC的初衷

CMMC合规要求国防部承包商展示对CUI的安全处理能力。关于CMMC作为一项合规标准的结构和推出存在很多争论，但几乎所有人都同意，其期望结果是通过保护敏感信息来加强国家安全。

这就是为什么供应商的空洞承诺在这种情况下如此成问题：它们让国防承包商相信其安全状况比实际情况更强大。

在Virtru，我们认为透明度是CMMC合规的最佳策略——我们网络中经过CMMC认证的客户、首席CCA和C3PAO都同意这一点。最近一家C3PAO是这样表述的：

“我欣赏Virtru对待CMMC的方式。不幸的是，其他一些供应商缺乏你们的诚信，正在危及客户的安全和合同资格，以及我们的国家安全。”

如果您正在购买软件来支持CMMC合规之旅，那么需要注意一些危险信号。

CMMC控制项与评估目标

首先，让我们澄清在进行CMMC评估时您实际被评估的内容。虽然我们谈论的是CMMC 2级的110项控制项（NIST SP 800-171），但评估员不仅仅是勾选110个复选框。他们是在评估嵌套在这些控制项中的320个评估目标。

要通过评估，OSC需要获得满分，或者在短期内解决任何微小差距的“行动计划与里程碑”（POA&M）计划下获得接近完美的分数。您必须向评估员展示您如何满足每一个目标。软件供应商在营销材料（包括其SRM或CRM）中的声明不受任何监管机构的约束。他们可以声称自己“帮助”实现任意数量的控制项。

然而，促进一项控制（如加密）与完全满足一项控制之间存在天壤之别。

切勿落入“继承”陷阱

供应商夸大其数字的最常见方式是声称您可以从其云托管提供商（如AWS或Azure）那里“继承”控制项。虽然继承在特定情况下是有效的，但一些供应商将这种逻辑延伸到了崩溃的边缘。

让我们看一个具体的、真实的例子，说明这在严格审查下是如何站不住脚的：物理保护（PE.3.10.3）。该控制项要求您护送访客并监控访客活动。具体目标要求当访客走进您设施的前门时：

• 有员工在那里迎接访客。
• 您公司的某人在访客在您设施内活动时全程陪同。
• 访客可能会获得访客徽章或其他视觉标识。
• 在他们离开之前，他们的活动受到监控。

一些数据保护供应商在其共享责任矩阵中声称涵盖了此项控制。但是，一款软件如何能在您的建筑物内护送人类访客呢？

某些软件供应商的逻辑通常是这样的：“我们将您的数据（CUI）存储在AWS中。AWS在其数据中心有人员和流程来护送和监控访客，满足了控制项要求。因此，您可以继承此项控制。”

需要指出的是，在某些情况下，某些“物理”控制项可能超出范围。然而，对于大多数组织来说，这可能性极低。

您的CMMC评估员会看到什么

想象一下，您坐在评估员对面。他们已经审查了您的文档，该文档声称您通过软件供应商满足了PE.3.10.3。

评估员会查看您的办公室——您的员工坐在那里并能访问CUI的地方——然后问：“好吧，但是谁在看着现在站在您大厅里的承包商呢？” 或者更糟糕的是，评估员首次进入您办公室时，根本没人迎接。

如果您的回答是“我的加密供应商处理了这件事”，您很可能会在该目标上失败。进而，这可能导致您最终评估失败，让您面临额外需要解决的工作、更多的成本和更多的挫折。

通常，CUI安全软件供应商负责加密和控制数据访问；他们不会向您的实体办公室部署物理人员（保安）。声称能做到这一点是一种营销策略，而非合规策略。

其他需要避免的陷阱：FedRAMP等效性

值得注意的是，许多软件供应商吹捧的是FedRAMP等效性，而非FedRAMP授权。虽然这两个术语看起来很相似，但存在很大差异。如果您的供应商是“等效的”，这意味着在发生CUI泄露时，您的组织承担所有风险。如果您的供应商是FedRAMP授权的（在FedRAMP市场上），那么他们有责任满足并维护与DFARS要求一致的安全标准——包括事件报告。

推荐阅读：《来自前线的反馈——“FedRAMP等效”的不足之处》

信任在CMMC控制项上保持透明的供应商

Virtru不会在CMMC合规方面过度承诺。我们认真对待以数据为中心的安全，这就是为什么我们采取保守而诚实的方法：Virtru帮助您满足110项CMMC控制项中的27项。这些是直接适用于我们能力的控制项。我们处理CUI的加密、审计和共享——这些是我们的软件实际执行的功能。

当您看到一家供应商声称他们处理100多项控制项时，您需要索取他们的共享责任矩阵，并逐行审核，同时提出诸如以下问题：

• 他们是否在物理安全方面邀功？
• 他们是否在为您员工的安全意识培训方面邀功？
• 他们是否提供持续监控？
• CUI是否必须仅在其平台内才能满足目标？

底线：不要让空洞的承诺毁了您的CMMC评估。

作为安全负责人，您的目标不仅仅是购买软件来勾选CMMC复选框。目标是根据CMMC、DFARS和NIST要求保护CUI，以确保敏感信息得到安全管理。如果您经常承接包含CUI的国防部项目，成功的CMMC评估对于保持收入流至关重要。不要只听我们说：以下是SHE BASH首席执行官Bunny Banowsky就此话题的评论。

切勿相信在营销材料上宣称控制项数量最多的供应商。 诚实说明其实际解决的27项控制项的供应商是合作伙伴。声称通过为亚马逊的保安邀功来解决102项控制项的供应商是您业务的负债。

了解其中的区别。阅读评估目标。选择一个重视透明度而非“勾选复选框”的合作伙伴。要了解更多关于Virtru如何支持您的CMMC合规之旅，请联系我们进行演示。我们很乐意向您展示为什么数百家DIB承包商信任我们进行加密的、安全的CUI管理。

QDOwfnm2U7P23j1HrlgMdh8mEteGmZ5VQg0qsMWy/ZAlVspFFEQfr6d7egJwOepb3svZflRPnKu80NX2QbqWmQ==